web-dev-qa-db-ja.com

Windows Bitlockerと自動ロック解除パスワードストレージの安全性

Bitlockerで外付けHDDを暗号化し、コンピューターを再起動した後、そのドライブを開こうとすると次のメッセージが表示されました。

enter image description here

たとえば、「今後、このコンピューターで自動的にロックを解除する」を選択した場合、Windowsがパスワードをレジストリのどこかに保存することになりますか?

PS。または、Microsoftでハッシュだけを保存できるほど賢いですか?

20
ahmd1

同じクエリ herehere も投稿しており、すでに何らかの標準的な応答を受け取っているようです。とにかく、それは興味深い質問であり、これが私が見つけたものです。 Windows 7でのBitLockerドライブ暗号化:よく寄せられる質問 ページには、

固定データドライブの自動ロック解除では、オペレーティングシステムドライブもBitLockerで保護する必要があります。 BitLockerで保護されたオペレーティングシステムドライブを搭載していないコンピューターを使用している場合、ドライブのロックを自動的に解除することはできません。

もちろん、リムーバブルデータドライブの暗号化にBitLocker To Goを使用しているため、これは当てはまりません。あなたにとって、以下が関係します:

Windows 7では、パスワードまたはスマートカードを使用して、リムーバブルデータドライブのロックを解除できます。暗号化を開始したら、特定のユーザーアカウントの特定のコンピューターでドライブを自動的にロック解除することもできます。システム管理者は、ユーザーが使用できるオプション、およびパスワードの複雑さと最小長の要件を構成できます。

また、

リムーバブルデータドライブの場合、Windowsエクスプローラーでドライブを右クリックし、[BitLockerの管理]をクリックして、自動ロック解除を追加できます。 BitLockerをオンにしたときに入力したパスワードまたはスマートカードの資格情報を使用して、他のコンピューターのリムーバブルドライブのロックを解除できます。

そして

リムーバブルデータドライブは、パスワードまたはスマートカードを使用してドライブのロックを解除した後、Windows 7を実行しているコンピューターで自動的にロック解除するように設定できます。ただし、リムーバブルデータドライブには、自動ロック解除方法に加えて、常にパスワードまたはスマートカードのロック解除方法が必要です。

これで、リムーバブルデータドライブの自動ロック解除を構成する方法と、そのようなドライブを他のPCでもロック解除する方法がわかりました。しかし、BitLockerが使用するキーは何で、どこに格納されますか? BitLockerドライブ暗号化でデータを保護するためのキー の記事のBitLockerキーセクションには、次のように記載されています。

[ボリューム]セクター自体は、フルボリューム暗号化キー(FVEK)と呼ばれるキーを使用して暗号化されます。ただし、FVEKはユーザーが使用したり、ユーザーがアクセスしたりすることはできません。 FVEKは、ボリュームマスターキー(VMK)と呼ばれるキーで暗号化されます。このレベルの抽象化にはいくつかのユニークな利点がありますが、プロセスを理解するのが少し難しくなる可能性があります。 FVEKが危険にさらされた場合、すべてのセクターを再暗号化する必要があるため、FVEKは厳重に保護された秘密として保持されます。これは時間のかかる操作であるため、避けたい操作です。代わりに、システムはVMKで動作します。 FVEK(VMKで暗号化)は、ボリュームメタデータの一部としてディスク自体に保存されます。 FVEKはローカルに保存されますが、暗号化されていないディスクに書き込まれることはありません。 VMKも暗号化、つまり「保護」されますが、1つ以上の可能なキープロテクターによって保護されます。デフォルトのキープロテクターはTPMです。

そのため、VMKは1つ以上のキープロテクターによって再び暗号化されます。これらは、 [〜#〜] tpm [〜#〜] 、パスワード、キーファイル、データ回復エージェント証明書、スマートカードなどにすることができます。今、自動ロック解除を有効にすると、リムーバブルデータドライブでは、次の自動ロック解除レジストリキーが作成されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

次に、タイプが「外部キー」のさらに別のキープロテクターが作成され、そのレジストリの場所に次のように保存されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

レジストリに保存されるキーとメタデータは、CryptProtectData() [〜#〜] dpapi [〜#〜] 関数を使用して、現在のユーザーのログイン認証情報と Triple DES (OTOH暗号化されたボリューム上の実際のデータは、128ビットまたは256ビットの 保護 です [〜#〜] aes [〜#〜] およびオプションで Elephant )と呼ばれるアルゴリズムを使用して拡散されます。

外部キーは、現在のユーザーアカウントとマシンでのみ使用できます。別のユーザーアカウントまたはマシンに切り替える場合、FveAutoUnlock GUIDの値は異なります。

27
Karan